一种恶意代码监控方法、装置、电子设备及存储介质与流程

1.本发明涉及网络安全技术领域，尤其涉及一种恶意代码监控方法、装置、电子设备及存储介质。


背景技术：

2.当前网络空间安全的主要威胁之一是恶意代码通过系统漏洞或垃圾邮件等大规模传播，进而对信息系统所造成的破坏。随着网络攻防的博弈，恶意代码呈现出隐形化、多态化、多歧化特点，因此，对恶意代码进行分析十分必要。恶意代码分析采用内核层监控对内核进行监控，内核层监控只能获取基础类别的操作，无法直接获取wmi、服务、计划任务等操作，因为这些功能在内核的角度来看，只是对文件、注册表、进程的变动，无法逆向解析成应用层的含义，因此无法判定进程的创建是否为wmi操作、服务操作还是计划任务操作，因此无法实现应用层进行监控。相关技术中，采用应用层沙箱的监控注入指定目标进程，采用hook技术获取指定目标进程中恶意代码相关参数。但由于应用层hook对抗能力较弱，无法全局监控，一些恶意样本采用多种方式脱离进程衍生树创建新进程，例如：wmi、服务、计划任务等进程。还有一些恶意样本采用shellcode代码注入方式感染其他进程或可执行文件，并没有创建新进程，因此无法实现对这些恶意样本进行分析，不能实现应用层的进程、注册表以及文件的全局监控。


技术实现要素：

3.有鉴于此，本发明实施例提供一种恶意代码监控方法、装置、电子设备及存储介质，以解决传统恶意代码监控方法不能对应用层进行全面、有效监控的问题。
4.第一方面，本发明实施例提供一种恶意代码监控方法，应用于电子设备，包括：
5.通过应用层hook捕获应用层操作对应的系数函数进程pid；
6.通过内核驱动层接收所述系统函数进程pid，并将所述系统函数进程pid与进程监控名单和/或进程监控队列进行匹配；
7.若匹配成功，构造监控日志，所述监控日志中包括系统函数进程pid对应的应用层操作行为，所述监控日志被用于分析恶意代码。
8.根据本发明实施例的一种具体实现方式，所述进程监控名单包括：进程路径监控名单、文件路径监控名单、注册表路径监控名单中的至少一种，将所述系统函数进程pid与进程监控名单进行匹配，包括：
9.将所述系统函数进程pid分别与所述进程路径监控名单、文件路径监控名单和注册表路径监控名单中至少一种进行匹配。
10.根据本发明实施例的一种具体实现方式，还包括：
11.动态更新所述进程监控名单，将所述系统函数进程pid与动态更新后的进程监控名单进行匹配；
12.所述动态更新所述进程监控名单具体包括：
13.若监控到进程中写入了已知敏感的路径信息，则将所述进程加入到所述进程路径监控名单中；
14.若监控到注册表中写入了已知敏感的路径信息，则将所述注册表加入到所述注册表路径监控名单中；
15.若在进程监控名单存储的文件路径下写入可执行文件，则将所述可执行文件加入所述文件路径监控名单。
16.根据本发明实施例的一种具体实现方式，将所述系统函数进程pid与进程监控队列进行匹配，包括：
17.当新进程创建时，判断所述新进程是否符合预设加入进程监控队列规则；
18.若是，将所述新进程的pid添加至所述进程监控队列生成进程衍生队列；
19.根据新进程创建行为和生成进程衍生队列行为构造监控日志。
20.根据本发明实施例的一种具体实现方式，将所述系统函数进程pid与进程监控队列进行匹配，包括：
21.若所述新进程不符合预设加入进程监控队列规则，调用系统函数获取所述新进程的路径；
22.将所述新进程的路径与所述进程路径监控名单中存储的路径进行匹配；
23.若匹配成功，则将所述新进程的pid发送到应用层进行监控；
24.将创建新进程对应的pid添加至所述进程监控队列生成进程衍生队列，
25.根据创建新进程行为、路径匹配成功行为和生成进程衍生队列行为构造监控日志；
26.若匹配失败，则停止对所述新进程进行监控。
27.根据本发明实施例的一种具体实现方式，将所述系统函数进程pid与进程监控队列进行匹配，还包括：
28.当进程终止时，判断终止进程是否存在于进程监控队列中；
29.若否，则停止对所述终止进程进行监控；
30.若是，根据进程终止行为构造监控日志。
31.根据本发明实施例的一种具体实现方式，将所述系统函数进程pid与进程监控队列进行匹配，还包括：
32.当设置注册表时，在所述进程监控队列中检索是否存在执行设置注册表请求的进程；
33.若所述进程监控队列中不存在执行设置注册表请求的进程，在所述注册表路径监控名单中检索是否存在设置注册表请求的路径；
34.若否，停止对所述设置注册表行为进行监控。
35.根据本发明实施例的一种具体实现方式，将所述系统函数进程pid与进程监控队列进行匹配，还包括：
36.若所述注册表路径监控名单中存在所述设置注册表的请求路径，则对所述注册表的键值进行解析，提取所述注册表键值中存储的可执行文件路径；
37.将所述可执行文件路径添加至进程监控名单，并将设置注册表请求对应的进程pid添加至进程监控队列，以及，将设置注册表请求对应的进程pid发送至应用层进行监控。
38.根据本发明实施例的一种具体实现方式，将所述系统函数进程pid与进程监控队列进行匹配，还包括：
39.在匹配进程监控队列中检索是否存在执行创建文件请求的pid；
40.若进程监控队列中不存在执行创建文件请求的pid，在文件监控名单中检索是否存在所述创建文件请求的路径；
41.若文件监控名单中不存在所述创建文件请求的路径，则停止对创建文件行为进行监控。
42.根据本发明实施例的一种具体实现方式，将所述系统函数进程pid与进程监控队列进行匹配，还包括：
43.若文件监控名单中存在所述创建文件请求的路径，则将所述创建文件请求的路径添加至进程监控名单；
44.将执行创建文件请求对应的进程pid添加至进程监控队列，以及，将执行创建文件请求对应的进程pid发送至应用层进行监控。
45.根据本发明实施例的一种具体实现方式，还包括：
46.维护进程监控队列，具体包括：
47.若父进程的pid存在所述进程监控队列中，当父进程对应的子进程被创建时，将所述子进程的pid加入所述进程监控队列中；
48.或者，
49.接收应用层传输的进程pid，将所述应用层传输的进程pid加入所述进程监控队列中；
50.或者，
51.当有进程退出时，若所述退出的进程pid存在所述进程监控队列中，则将所述退出的进程pid从所述进程监控队列中删除。
52.第二方面，本发明实施例提供一种恶意代码监控装置，包括：
53.捕获模块，用于通过应用层hook捕获应用层操作对应的系数函数进程pid；
54.匹配模块，用于通过内核驱动层接收所述系统函数进程pid，并将所述系统函数进程pid与进程监控名单和/或进程监控队列进行匹配；
55.构造模块，用于在所述系统函数进程pid与进程监控名单和/或进程监控队列进行匹配成功后，构造监控日志，所述监控日志中包括系统函数进程pid对应的应用层操作行为，所述监控日志被用于分析恶意代码。
56.根据本发明实施例的一种具体实现方式，所述匹配模块包括进程监控名单匹配模块，用于：
57.将所述系统函数进程pid分别与进程路径监控名单、文件路径监控名单和注册表路径监控名单中至少一种进行匹配。
58.第三方面，本发明实施例提供一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实现方式所述的恶意代码监控方法。
59.第四方面，本发明的实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述任一实现方式所述的恶意代码监控方法。
60.本发明实施例提供的一种恶意代码监控方法、装置、电子设备及存储介质，恶意代码监控方法中通过应用层hook捕获应用层操作对应的系数函数进程pid；通过内核驱动层接收系统函数进程pid，并将系统函数进程pid与进程监控名单和/或进程监控队列进行匹配；若匹配成功，构造监控日志，监控日志中包括系统函数进程pid对应的应用层操作行为，监控日志被用于分析恶意代码，提升应用层监控能力，实现应用层的全局监控。
附图说明
61.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
62.图1为本发明的实施例一恶意代码监控方法的流程图；
63.图2为本发明的实施例二恶意代码监控方法的流程图；
64.图3为本发明的实施例三恶意代码监控方法的流程图；
65.图4为本发明的实施例四恶意代码监控方法的流程图；
66.图5为本发明的实施例五恶意代码监控方法的流程图；
67.图6为本发明的实施例六恶意代码监控方法的流程图；
68.图7为本发明的实施例一恶意代码监控装置的功能结构图；
69.图8为本发明的实施例二恶意代码监控装置的功能结构图；
70.图9为本发明的一个实施例提供的一种电子设备的结构示意图。
具体实施方式
71.下面结合附图对本发明实施例进行详细描述。应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
72.本实施例提供一种恶意代码监控方法，以解决传统恶意代码监控方法不能对应用层进行全面、有效监控的问题。
73.图1为本发明实施例一的恶意代码监控方法的流程示意图，如图1所示，本实施例的恶意代码监控方法应用于电子设备。
74.本实施例的恶意代码监控方法可以包括：
75.步骤101、通过应用层hook捕获应用层操作对应的系数函数进程pid；
76.本实施例中，hook技术是指在系统没有调用该函数之前，钩子程序就先捕获该消息，钩子函数先得到控制权，这时钩子函数既可以改变该消息，也可以强制结束该消息的传递。
77.采用hook技术获取恶意代码调用操作系统的api函数，此时能够获取到相关参数。当样本创建子进程时，会调用ntcreateprocess、ntcreateprocessex、
ntcreateuserprocess、rtlcreateuserprocess、createprocessinternalw等创建进程的函数。在系统调用发生之前，先获得函数参数，以暂停方式启动子进程，此时将hook代码注入子进程中，然后将控制权交还给系统函数。此时子进程会被hook代码监控。若样本自身注入到其他进程中，可以从调用的函数参数中获得被注入进程的句柄，进而查询到进程pid。
78.步骤102、通过内核驱动层接收系统函数进程pid，并将系统函数进程pid与进程监控名单和/或进程监控队列进行匹配；
79.本实施例中，进程监控名单包括：进程路径监控名单、文件路径监控名单、注册表路径监控名单中的至少一种。
80.本实施例中，将系统函数进程pid与进程监控名单进行匹配，具体包括：
81.将系统函数进程pid分别与进程路径监控名单、文件路径监控名单和注册表路径监控名单中至少一种进行匹配。
82.进程路径监控名单中记录了敏感路径。例如“％appdata％\microsoft\windows\start menu\programs\startup”是开机自启动目录，如果恶意代码释放可执行文件到此目录下，计算机重启后会自动执行被释放的可执行文件。
83.注册表路径监控名单中记录了敏感路径。例如“software\microsoft\windows nt\currentversion\run”、“software\microsoft\windows\currentversion\run”、“software\microsoft\windows nt\currentversion\winlogon”等多种敏感路径。当计算机开机时，这个注册表键值中存储的命令会随着开机自动运行。
84.文件路径监控名单同样记录了多条敏感路径。这种敏感路径可以通过人工查找并添加到监控列表文件中。
85.一些实施例中，还包括：
86.动态更新进程监控名单，将系统函数进程pid与动态更新后的进程监控名单进行匹配；
87.动态更新进程监控名单具体包括：
88.若监控到进程中写入了已知敏感的路径信息，则将进程加入到进程路径监控名单中；
89.若监控到注册表中写入了已知敏感的路径信息，则将注册表加入到注册表路径监控名单中；
90.若在进程监控名单存储的文件路径下写入可执行文件，则将可执行文件加入文件路径监控名单。
91.本实施例中，通过动态维护三个监控名单。将已知敏感的路径信息分别写入进程路径监控名单、文件路径监控名单、注册表路径监控名单。当监控到注册表中写入了可执行文件路径，则将该路径加入到注册表路径监控名单中。同理，若在监控名单存储的文件路径下写入可执行文件，也将该文件加入文件路径监控名单中。
92.步骤103、若匹配成功，构造监控日志，监控日志中包括系统函数进程pid对应的应用层操作行为，监控日志被用于分析恶意代码。
93.一些实施例中，监控日志被发送到日志接收端，日志接收端将接收到的多个监控日志进行综合分析，以根据综合分析结果判定是否存在恶意代码。
94.传统恶意代码监控方法中，应用层hook对抗能力较弱，无法全局监控。以进程衍生
关系确定被监控的目标进程，而一些恶意样本采用多种方式脱离进程衍生树创建新进程。例如：wmi、服务、计划任务。还有一些恶意样本采用shellcode代码注入方式感染其他进程或可执行文件，并没有创建新进程。
95.内核层监控所得到的日志不利于分析。内核驱动层监控只能获取基础类别的操作，无法直接获取wmi、服务、计划任务等操作，因为这些功能在内核的角度来看，只是对文件、注册表、进程的变动，无法逆向解析成应用层的含义，因此无法判定进程的创建是否为wmi操作、服务操作还是计划任务操作。
96.本实施例中，通过应用层hook捕获应用层操作对应的系数函数进程pid；通过内核驱动层接收系统函数进程pid，并将系统函数进程pid与进程监控名单和/或进程监控队列进行匹配；若匹配成功，构造监控日志，监控日志中包括系统函数进程pid对应的应用层操作行为，监控日志被用于分析恶意代码，提升应用层监控能力，实现应用层的全局监控。
97.内核驱动层中维护进程监控队列。当新进程创建时，如果父进程在监控队列中，则将新进程的pid也加入监控队列。如果父进程不在监控队列中，则与进程监控名单中内容进行匹配，如果匹配成功，则将产生该日志的pid加入监控队列，并发送至应用层监控进行注入。若进程退出，则将进程pid移出进程监控队列。
98.例如，“c:\windows\system32\taskeng.exe”是任务计划程序引擎调用的安全进程。通过计划任务实现自启动的子进程，其父进程就是taskeng进程，且计划任务进程并不能通过hook某个api，就可以得到该进程的pid，因此taskeng进程也需要被监控。
99.图2为本发明实施例二的恶意代码监控方法的流程图，如图2所示，本实施例的恶意代码监控方法可以包括：
100.步骤201、当新进程创建时，判断新进程是否符合预设加入进程监控队列规则，若是，执行步骤202，若否，执行步骤204；
101.步骤202、将新进程的pid添加至进程监控队列生成进程衍生队列；
102.步骤203、根据新进程创建行为和生成进程衍生队列行为构造监控日志。
103.步骤204、若创建的进程不符合预设加入进程监控队列规则，调用系统函数获取新进程的路径；
104.步骤205、将新进程的路径与进程路径监控名单中存储的路径进行匹配，若匹配成功，执行步骤206，否则，执行步骤209；
105.步骤206、将新进程的pid发送到应用层进行监控；
106.一些实施例中，通过命名管道将新进程的pid发送到应用层。
107.步骤207、将创建新进程对应的pid添加至进程监控队列生成进程衍生队列；
108.步骤208、根据创建新进程行为、路径匹配成功行为和生成进程衍生队列行为构造监控日志；
109.步骤209、若匹配失败，则停止对新进程进行监控。
110.一些实施例中，在新进程与进程监控名单匹配识别时，说明此进程不属于恶意代码，不再对该进程进行监控，移交至内核驱动层中其他模块，以执行进程对应的具体操作。
111.一些实施例中，系统函数进程pid与进程监控队列进行匹配，还包括：
112.当进程终止时，判断终止进程是否存在于进程监控队列中；
113.若否，则停止对终止进程进行监控；
114.若是，根据进程终止行为构造监控日志。
115.使用微软提供的pssetcreateprocessnotifyroutine函数能够设置进程回调监控的创建与退出，而且还能控制是否允许进程创建。当有进程创建或退出时，回调函数能够获取参数：parentid、processid、createinfo。分别为父进程的进程id，进程的进程id，指向ps_create_notify_info结构的指针，其中包含新进程的信息，如果此参数为null，则表示进程退出；如果此参数不为null，则表示进程创建。
116.本实施例中，通过进程回调可以实现对应用层进程进行监控。
117.图3为本发明实施例三的恶意代码监控方法的流程图，如图3所示，本实施例的恶意代码监控方法可以包括：
118.步骤301、当设置注册表时，在进程监控队列中检索是否存在执行设置注册表请求的进程，若否，执行步骤302，若是，执行步骤304；
119.步骤302、若进程监控队列中不存在执行设置注册表请求的进程，在注册表路径监控名单中检索是否存在设置注册表请求的路径；
120.步骤303、若否，停止对设置注册表行为进行监控。
121.步骤304、若注册表路径监控名单中存在设置注册表请求的路径，对注册表的键值进行解析，提取注册表键值中存储的可执行文件路径；
122.步骤305、将可执行文件路径添加至进程监控名单，并将设置注册表请求对应的进程pid添加至进程监控队列，以及，将设置注册表请求对应的进程pid发送至应用层进行监控。
123.windows提供的cmregistercallback函数可以对系统设置注册表监控回调，实时监控注册表的操作。从函数参数中可以获取两个参数，argument1是一个reg_notify_class类型的值，用于标识正在执行的注册表的操作类型。argument2是指向特定域注册表操作信息类型的结构指针。结构类型取决于argument1中的reg_notify_class类型值。
124.例如：当reg_notify_class类型值为regntpresetinformationkey时，argument2结构类型为reg_set_information_key_information。根据该结构体能够获取注册表路径，以及写入的注册表键和值。此时调用fltgetrequestorprocessid系统函数能够获取这条执行注册表设置请求的进程pid。
125.本实施例中，通过注册表回调可以实现对应用层注册表进行监控。
126.图4为本发明实施例四的恶意代码监控方法的流程图，如图4所示，本实施例的恶意代码监控方法可以包括：
127.步骤401、在匹配进程监控队列中检索是否存在执行创建文件请求的pid，若否，执行步骤402，若是，执行步骤404；
128.步骤402、若进程监控队列中不存在执行创建文件请求的pid，在文件监控名单中检索是否存在创建文件请求的路径；
129.步骤403、若文件监控名单中不存在所述创建文件请求的路径，则停止对创建文件行为进行监控。
130.步骤404、若文件监控名单中存在创建文件请求的路径，则将创建文件请求的路径添加至进程监控名单；
131.步骤405、将执行创建文件请求对应的进程pid添加至进程监控队列，以及，将将执
行创建文件请求对应的进程pid发送至应用层进行监控。
132.minifilter是微软推出的过滤驱动框架，当上层发生了某些文件系统请求的时候，这个请求会打包成irp(i/o request package)，发给底层的文件系统处理，当任务处理完的时候，文件系统会把任务完成情况打成irp包回发给上层。minifilter过滤驱动可以拦截到irp，从而获取irp里的信息，可以不进行任何操作将irp继续向下发，也可以修改irp中的一些字段然后回发给上层。
133.irp中包含flt_callback_data结构信息，该结构中包含pflt_io_parameter_block结构信息，pflt_io_parameter_block结构中包含flt_parameters结构信息，flt_parameters结构中以联合体形式包含多种文件操作的结构信息。
134.flt_callback_data结构信息作为参数，调用fltgetfilenameinformation系统函数能够获取当前文件的完整路径，调用fltgetrequestorprocessid系统函数能够获取执行这条文件请求的进程pid。
135.本实施例中，通过minifilter文件过滤可以实现对应用层文件进行监控。
136.内核驱动捕获到不在进程监控队列中的进程、文件、注册表操作时，会与监控列表中路径进行匹配，如果匹配成功，会发送执行该操作的进程pid至应用层进行监控，应用层会将hook程序注入此进程，获取该进程运行过程中调用的系统函数。如图5、图6所示，应用层hook会将敏感的系统函数调用进行解析，将恶意代码感染的其他进程pid发送给内核驱动层，内核驱动层将接收到的pid加入进程监控队列。例如createremotethread函数功能为创建在另一个进程的虚拟地址空间中运行线程，第一个参数为另一个进程的句柄，根据句柄能够得到对应的进程pid，将pid发送给内核驱动层。
137.一些实施例中，还包括：
138.维护进程监控队列，具体包括：
139.若父进程的pid存在所述进程监控队列中，当父进程对应的子进程被创建时，将所述子进程的pid加入所述进程监控队列中；
140.或者，
141.接收应用层传输的进程pid，将应用层传输的进程pid加入所述进程监控队列中；
142.或者，
143.当有进程退出时，若退出的进程pid存在所述进程监控队列中，则将退出的进程pid从进程监控队列中删除。
144.通过内核监控与应用层hook相结合，以动态维护监控列表和进程监控队列为核心，解决应用层hook对抗能力弱的弊端。在系统内进行多维度内核层监控，监控名单动态变更。基于初始化生成的进程监控名单、注册表监控名单、文件监控名单为起点，分别监控系统内进程维度、注册表维度、文件维度是否有符合各自设定条件的新事件产生。当有新事件发生时，对事件中的动作的结果进行关系分析，并进行动态更改进程监控名单、文件监控名单、注册表监控名单。得到比单独应用层hook更全面的恶意衍生进程，进而捕获更全面的恶意行为。
145.通过图1～图6中所示方法实施例的技术方案，本技术中内核层监控能够监控到整个操作系统的进程、文件、注册表变化，与应用层监控相互配合，能够解决应用层监控对抗能力弱的缺陷，可以实现全面捕获样本的恶意行为，适用于windows系统，以虚拟机作为载
体的沙箱系统的进程行为分析，以及适用于监控审计领域进程活动的分析。
146.图7为本发明恶意代码监控装置实施例一的结构示意图，如图7所示，本实施例的装置可以包括：
147.捕获模块701，用于通过应用层hook捕获应用层操作对应的系数函数进程pid；
148.匹配模块702，用于通过内核驱动层接收系统函数进程pid，并将系统函数进程pid与进程监控名单和/或进程监控队列进行匹配；
149.构造模块703，用于在系统函数进程pid与进程监控名单和/或进程监控队列进行匹配成功后，构造监控日志，监控日志中包括系统函数进程pid对应的应用层操作行为，监控日志被用于分析恶意代码。
150.本实施例的装置，可以用于执行图1、图5、图6所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。
151.一些实施例中，如图8所示，本实施例的装置还可以包括：
152.匹配模块702包括监控名单匹配模块7021，监控名单匹配模块7021用于：
153.动态更新进程监控名单，将所述系统函数进程pid与动态更新后的进程监控名单进行匹配；
154.动态更新所述进程监控名单具体包括：
155.若监控到进程中写入了已知敏感的路径信息，则将进程加入到所述进程路径监控名单中；
156.若监控到注册表中写入了已知敏感的路径信息，则将注册表加入到所述注册表路径监控名单中；
157.若在进程监控名单存储的文件路径下写入可执行文件，则将可执行文件加入所述文件路径监控名单。
158.匹配模块702还包括进程监控队列匹配模块7022，进程监控队列匹配模块7022包括：
159.进程回调模块、文件过滤模块和注册表回调模块。
160.进程回调模块可以用于执行图2所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。
161.注册表回调模块可以用于执行图3所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。
162.文件过滤模块可以用于执行图4所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。
163.本实施例的装置，捕获模块通过应用层hook捕获应用层操作对应的系数函数进程pid；匹配模块通过内核驱动层接收系统函数进程pid，并将系统函数进程pid与进程监控名单和/或进程监控队列进行匹配；构造模块在系统函数进程pid与进程监控名单和/或进程监控队列进行匹配成功后，构造监控日志，监控日志中包括系统函数进程pid对应的应用层操作行为，监控日志被用于分析恶意代码，从而实现全面捕获样本的恶意行为。
164.图9为本发明电子设备一个实施例的结构示意图，可以实现本发明图1～图6所示实施例的流程，如图9所示，上述电子设备可以包括：壳体91、处理器92、存储器93、电路板94和电源电路95，其中，电路板94安置在壳体91围成的空间内部，处理器92和存储器93设置在
电路板94上；电源电路95，用于为上述电子设备的各个电路或器件供电；存储器93用于存储可执行程序代码；处理器92通过读取存储器93中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实施例所述的恶意代码监控方法。
165.处理器92对上述步骤的具体执行过程以及处理器92通过运行可执行程序代码来进一步执行的步骤，可以参见本发明图1～图6所示实施例的描述，在此不再赘述。
166.该电子设备以多种形式存在，包括但不限于：
167.(1)移动通信设备：这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括：智能手机(例如iphone)、多媒体手机、功能性手机，以及低端手机等。
168.(2)移动个人计算机设备：这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括：pda、mid和umpc设备等，例如ipad。
169.(3)便携式娱乐设备：这类设备可以显示和播放多媒体内容。该类设备包括：音频、视频播放器(例如ipod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。
170.(4)服务器：提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
171.(5)其他具有数据交互功能的电子设备。
172.第四方面，本发明的实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述任一实施例所述的恶意代码监控方法。
173.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
174.本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。
175.尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
176.为了描述的方便，描述以上装置是以功能分为各种单元/模块分别描述。当然，在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
177.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read-only memory，rom)或随机存储记忆体(random access memory，ram)等。
178.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何
熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。